يعد التزوير عبر الموقع (CSRF) أحد أقدم الطرق لاستغلال نقاط الضعف في موقع الويب. إنه يستهدف محولات الويب من جانب الخادم والتي تتطلب عادةً مصادقة مثل تسجيل الدخول. أثناء هجوم CSRF ، يهدف المهاجم إلى إجبار ضحيته على تقديم طلب ويب ضار وغير مصرح به نيابةً عنهم.
تعد ممارسات أمان موقع الويب الضعيفة أو السيئة والإهمال في مسار المستخدم من الأسباب الشائعة لهجوم CSRF الناجح.
لنلقِ نظرة على ماهية هجوم CSRF والطرق الممكنة التي يمكنك من خلالها منع نفسك منه كمطور أو كمستخدم.
CSRF هو هجوم يستخدم لتنفيذ الطلبات غير المصرح بها أثناء إجراءات الويب التي تتطلب تسجيل دخول المستخدم أو المصادقة. يمكن أن تستفيد هجمات CSRF من معرفات الجلسة وملفات تعريف الارتباط بالإضافة إلى نقاط الضعف الأخرى المستندة إلى الخادم لسرقة بيانات اعتماد المستخدم.
على سبيل المثال ، يؤدي تمكين إجراءات مكافحة CSRF إلى منع التفاعلات الضارة عبر المجالات.
بمجرد كسر هذا الحاجز ، يمكن للمهاجم الاستفادة بسرعة من معرف جلسة المستخدم عبر ملفات تعريف الارتباط التي أنشأها متصفح المستخدم وتضمين علامة البرنامج النصي في موقع الويب الضعيف.
من خلال التلاعب بالمعرف ، يمكن للمهاجم أيضًا إعادة توجيه الزوار إلى صفحة ويب أخرى أو استغلال أساليب الهندسة الاجتماعية مثل البريد الإلكتروني لإرسال الروابط ، وتشجيع الضحية على تنزيل برامج ضارة.
بمجرد تنفيذ الضحية لمثل هذه الإجراءات ، فإنها ترسل طلب HTTP إلى صفحة خدمة المستخدم وتفوض إجراء الطلب لصالح المهاجم. يمكن أن يكون ذلك مدمرًا للمستخدم المطمئن.
يمكن لهجوم CSRF الناجح أن يفقد المستخدمين المصرح لهم بيانات اعتماد الوصول الخاصة بهم للمهاجم ، خاصة أثناء الإجراءات المستندة إلى الخادم مثل طلبات تغيير كلمة المرور أو اسم المستخدم. في أسوأ السيناريوهات ، يتولى المهاجم الجلسة بأكملها ويتصرف نيابة عن المستخدمين.
تم استخدام CSRF لاختطاف معاملات الأموال عبر الويب بالإضافة إلى تغيير أسماء المستخدمين وكلمات المرور ، مما يؤدي إلى فقدان المستخدمين الوصول إلى الخدمة المتأثرة.
الأهداف الرئيسية لهجمات CSRF هي إجراءات الويب التي تتضمن مصادقة المستخدم. لكي تكون ناجحًا ، فإنها تحتاج إلى إجراءات غير مقصودة من الضحية.
أثناء هجوم CSRF ، تعد إجراءات GET و DELETE و PUT ، بالإضافة إلى طلبات POST الضعيفة هي الأهداف الرئيسية للمهاجم.
لنلقِ نظرة على معنى هذه المصطلحات:
في الممارسة العملية ، يستخدم المهاجمون اختطاف الجلسة لعمل نسخة احتياطية من هجوم CSRF. عند استخدام هذه المجموعة ، يمكن للمهاجم استخدام الاختطاف لتغيير عنوان IP الخاص بالضحية.
يؤدي التغيير في عنوان IP بعد ذلك إلى تسجيل الضحية في موقع ويب جديد حيث أدخل المهاجم رابطًا مخادعًا يرسل نموذجًا مكررًا أو طلب خادم معدلًا تم إنشاؤه عبر CSRF.
ثم يعتقد المستخدم المطمئن أن إعادة التوجيه تأتي من مزود الخدمة وينقر على الرابط في صفحة الويب الخاصة بالمهاجم. بمجرد القيام بذلك ، يرسل المتسللون نموذجًا عند تحميل الصفحة دون علمهم.
تخيل أنك تحاول إجراء الدفع عبر الإنترنت من خلال منصة تجارة إلكترونية غير آمنة. يستخدم مالكو المنصة طلب GET لمعالجة معاملتك. قد يبدو استعلام GET هذا على النحو التالي:
https://websiteurl/pay?amount=$10&company=[company ABC's account]
يمكن للمخترق سرقة معاملتك بسهولة عن طريق تغيير معلمات طلب GET. للقيام بذلك ، كل ما يحتاجون إليه هو تبديل اسمك باسمهم ، والأسوأ من ذلك ، تغيير المبلغ الذي تنوي دفعه. ثم يقومون بتعديل الاستعلام الأصلي إلى شيء مثل هذا:
https://websiteurl/pay?amount=$20000&company=[attacker's account]
بمجرد النقر فوق ارتباط لطلب GET المعدل ، ينتهي بك الأمر بإجراء نقل غير مقصود إلى حساب المهاجم.
يعتبر التعامل مع طلبات GET ممارسة سيئة ، ويجعل الأنشطة عرضة للهجمات.
ومع ذلك ، يعتقد العديد من المطورين أن استخدام طلب POST أكثر أمانًا لإجراء معاملات الويب. في حين أن هذا صحيح ، للأسف ، فإن طلب POST عرضة لهجمات CSRF أيضًا.
لاختطاف طلب POST بنجاح ، كل ما يحتاجه المهاجم هو معرف جلستك الحالي ، وبعض النماذج غير المرئية المنسوخة ، وأحيانًا القليل من الهندسة الاجتماعية.
على سبيل المثال ، قد يبدو نموذج طلب POST بالشكل التالي:
ومع ذلك ، يمكن للمهاجم تبديل بيانات الاعتماد الخاصة بك عن طريق إنشاء صفحة جديدة وتعديل النموذج أعلاه إلى ما يلي:
في النموذج الذي تم التلاعب به ، يقوم المهاجم بتعيين قيمة حقل المبلغ إلى "30000" ، ومبادلة رقم حساب المستلم برقمه ، وإرسال النموذج عند تحميل الصفحة ، وكذلك إخفاء حقول النموذج عن المستخدم.
بمجرد اختطاف تلك الجلسة الحالية ، تبدأ صفحة معاملتك في إعادة توجيه إلى صفحة المهاجم ، والتي تطالبك بالنقر فوق ارتباط يعرف أنه من المرجح أن تزوره.
يؤدي النقر فوق هذا إلى تحميل إرسال النموذج المنسوخ ، والذي يحول أموالك إلى حساب المهاجم. هذا يعني أنك لست بحاجة إلى النقر فوق أزرار مثل "إرسال" لإجراء المعاملة ، حيث يقوم JavaScript بذلك تلقائيًا عند تحميل صفحة الويب التالية.
بدلاً من ذلك ، يمكن للمهاجم أيضًا صياغة بريد إلكتروني مضمن بتنسيق HTML يطالبك بالنقر فوق ارتباط لإجراء إرسال نموذج تحميل الصفحة نفسه.
إجراء آخر عرضة لهجوم CSRF هو تغيير اسم المستخدم أو كلمة المرور ، مثال على طلب PUT. يقوم المهاجم بتكرار نموذج الطلب الخاص بك واستبدال عنوان بريدك الإلكتروني بعناوينهم.
ثم يسرقون جلستك ويقومون إما بإعادة توجيهك إلى صفحة أو إرسال بريد إلكتروني يطالبك بالنقر فوق ارتباط جذاب.
يؤدي ذلك بعد ذلك إلى إرسال نموذج تم التلاعب به يرسل رابط إعادة تعيين كلمة المرور إلى عنوان البريد الإلكتروني للمتسلل بدلاً من عنوان بريدك الإلكتروني. بهذه الطريقة ، يغير المخترق كلمة مرورك ويسجّل خروجك من حسابك.
تتمثل إحدى أفضل الطرق لمنع CSRF في استخدام الرموز المتغيرة بشكل متكرر بدلاً من الاعتماد على ملفات تعريف الارتباط للجلسة لتشغيل تغيير الحالة على الخادم.
الموضوعات ذات الصلة: أدلة مجانية لفهم الأمن الرقمي وحماية خصوصيتك
توفر العديد من أطر العمل الخلفية الحديثة أمانًا ضد CSRF. لذا ، إذا كنت ترغب في تجنب الجوانب الفنية لتعزيز CSRF بنفسك ، فيمكنك معالجتها بسهولة باستخدام أطر عمل من جانب الخادم تأتي مع الرموز المميزة المضادة لـ CSRF.
عند استخدام رمز مضاد لـ CSRF ، فإن الطلبات المستندة إلى الخادم تنشئ سلاسل عشوائية بدلاً من ملفات تعريف الارتباط للجلسة الأكثر ثباتًا. بهذه الطريقة ، يمكنك حماية جلستك من التخمين من قبل الخاطف.
يؤدي تطبيق نظام مصادقة ثنائية (2FA) لتشغيل المعاملات على تطبيق الويب الخاص بك أيضًا إلى تقليل فرص CSRF.
من الممكن بدء CSRF عبر البرمجة النصية عبر المواقع (XSS) ، والتي تتضمن إدخال البرنامج النصي في حقول المستخدم مثل نماذج التعليقات. لمنع حدوث ذلك ، من الممارسات الجيدة تمكين ميزة الهروب التلقائي لـ HTML في جميع حقول نماذج المستخدم عبر موقع الويب الخاص بك. يمنع هذا الإجراء حقول النموذج من تفسير عناصر HTML.
بصفتك مستخدمًا لخدمة الويب التي تتضمن المصادقة ، لديك دور تلعبه في منع المهاجمين من سرقة بيانات اعتمادك وجلساتك عبر CSRF أيضًا.
تأكد من أنك تستخدم خدمات ويب موثوقة أثناء الأنشطة التي تتضمن تحويل الأموال.
بالإضافة إلى ذلك ، استخدم متصفحات الويب الآمنة التي تحمي المستخدمين من التعرض للجلسة ، بالإضافة إلى محركات البحث الآمنة التي تحمي من تسرب بيانات البحث.
الموضوعات ذات الصلة: أفضل محركات البحث الخاصة التي تحترم بياناتك
بصفتك مستخدمًا ، يمكنك أيضًا الاعتماد على مصادقي الجهات الخارجية مثل Google Authenticator أو بدائله للتحقق من هويتك عبر الويب.
على الرغم من أنك قد تشعر بالعجز عن منع المهاجم من اختطاف جلستك ، فلا يزال بإمكانك المساعدة في منع ذلك من خلال التأكد من أن متصفحك لا يخزن معلومات مثل كلمات المرور وتفاصيل تسجيل الدخول الأخرى.
يحتاج المطورون إلى اختبار تطبيقات الويب بانتظام بحثًا عن انتهاكات الأمان أثناء التطوير والنشر.
ومع ذلك ، فمن الشائع إدخال نقاط ضعف أخرى أثناء محاولة منع الآخرين. لذا كن حذرًا للتأكد من أنك لم تنتهك معلمات الأمان الأخرى أثناء محاولة حظر CSRF.
أدت التطورات في تكنولوجيا المعلومات (IT) إلى خلق أماكن عمل أكثر إنتاجية. ومع أمثال الحوسبة السحابية ، لم يكن الوصول إلى أدوات العمل الرقمية أسهل من أي وقت مضى.
الشبكة الافتراضية الخاصة (VPN) هي أداة أساسية لتصفح الإنترنت بأمان. ولكن مع كل الخيارات المتاحة في السوق ، من السهل جدًا الوقوع في إجهاد اتخاذ القرار وينتهي بك الأمر بدون حماية مع عدم وجود VPN على الإطلاق.
يعد التزوير عبر الموقع (CSRF) أحد أقدم الطرق لاستغلال نقاط الضعف في مواقع الويب. إنه يستهدف محولات الويب من جانب الخادم والتي تتطلب عادةً مصادقة مثل تسجيل الدخول. أثناء هجوم CSRF ، يهدف المهاجم إلى إجبار ضحيته على تقديم طلب ويب ضار وغير مصرح به نيابةً عنهم.
GoFundMe هي واحدة من أفضل المنصات عبر الإنترنت التي يستخدمها الأشخاص لطلب تبرعات من الآخرين لمساعدة أنفسهم أو أحبائهم. يحتوي الموقع على فريق متخصص للتأكد من أن الأموال التي يتم جمعها تذهب إلى المستلمين المقصودين. إذا فشل شيء ما في هذا الصدد ، يقوم فريق GoFundMe بإصدار المبالغ المستردة.
تعد الرموز الشريطية من أفضل الطرق لمشاركة البيانات على سطح مادي. كل ما يتعين على الشخص المهتم فعله هو مسح الرمز ضوئيًا مباشرة على هاتفه الذكي للوصول إلى موقع ويب أو تطبيق.
بالنظر إلى أننا بحاجة إلى تأمين حساباتنا عبر الإنترنت ، يساعد مدير كلمات المرور في تسهيل المهمة. لا يقتصر مدير كلمات المرور على إدارة بيانات الاعتماد فحسب ، بل يمكنك أيضًا الحصول على مجموعة واسعة من الميزات معه.
تهيمن حوادث القرصنة دائمًا على الأخبار ، وهي محقة في ذلك. إنها دليل على أنه لا يوجد أحد في مأمن ، خاصةً عندما تكون الضحية شركة كبرى ذات نظام أمان إلكتروني متطور. كان اختراق SolarWinds أحد الاختراقات التي كان لها تأثير كبير على مشهد الأمن السيبراني.
إذا سبق لك أن أدخلت أنفك في عالم الأمن السيبراني ، فستعلم أن المتسللين يميلون إلى العثور على عيوب معيقة في التقنيات الراسخة ، مما يفتح ثغرة لمئات الآلاف من الأجهزة في جميع أنحاء العالم. هذا هو الحال مع استغلال BrakTooth ، والذي يهدف إلى التسبب في مشاكل لأجهزة Bluetooth في جميع أنحاء العالم.
مع خدمات DNS الآمنة ، يمكنك بسهولة تحسين خصوصيتك على الإنترنت. ومع ذلك ، توفر لك بعض خدمات DNS وظائف إضافية جنبًا إلى جنب مع عناصر التحكم لتخصيص تجربتك عبر الإنترنت.
ربما تكون قد شاهدت سيارة Google مزودة بكاميرا مثبتة ، تلتقط لقطات من وضع التجوّل الافتراضي. إنه لأمر مدهش أنه يمكننا استخدام جهاز كمبيوتر أو هاتف لرؤية الأماكن التي لم نقم بزيارتها مطلقًا.
